Het Stelsel MOET periodiek en door een onafhankelijke ter zake deskundige partij laten toetsen of de technische beveiligingsmaatregelen die zijn genomen door Deelnemers, Beheerorganisatie daadwerkelijk effectief en adequaat zijn. Een dergelijke controle is nuttig om zwakke plekken in het systeem te ontdekken en om te controleren hoe doeltreffend de beheersmaatregelen zijn bij het voorkómen van onbevoegde toegang als gevolg van deze zwakke plekken.
Tenminste tweemaal per jaar worden er pentesten uitgevoerd. Deze zullen verdeeld worden in centraal (gecoördineerd door de beheerorganisatie) en decentraal (onder directe verantwoordelijkheid van individuele deelnemers).
De beheerorganisatie zal tenminste éénmaal per jaar een centrale pentest organiseren. Indien gewenst kan het thema ervan worden bepaald in overleg met de Security officers van de deelnemers tijdens het Security officers overleg.
Georganiseerd door deelnemers zelf.
De penetratietest MOET worden uitgevoerd door een partij die:
Het rapport van de Decentrale en Centrale penetratietest MOET ter inzage worden aangeboden aan de toezichthouder. Uit het rapport van de Centrale penetratietest worden de bevindingen door de Beheerorganisatie gedeeld met de betreffende geauditte partij. Voor bevindingen die geclassificeerd zijn als Hoog dient op basis van een risico analyse een Corrective Action Plan (CAP) gemaakt te worden door de deelnemer en beheerorganisatie, waarin beschreven staat wanneer de bevinding wordt opgelost. Deze dient aangeboden te worden aan de toezichthouder.
De beheerorganisatie rapporteert over de Centrale penetratietest aan het Tactisch Beraad, waarbij individuele bevindingen zijn geanonimiseerd.